[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Automatiser les mises à jour de sécurité

Bonsoir,

Frédéric Bothamy a écrit :


* Tony GALMICHE <tony.galmiche@tiscali.fr> [2005-01-31 20:14] :

Bonsoir à tous,
Ce soir, je me pose une question existentielle :-), sur la possibilité de mettre à jour automatiquement les paquets liés à la sécurité sans mettre à jour les autres paquets. 

En fait, je voudrais mettre dans une crontab, une commande du genre :
- apt-get update && apt-get -y dist-upgrade


C'est assez dangereux (au niveau sécurité) de faire cela : tu ne
contrôles pas ce qui est installé sur la machine et si jamais quelqu'un
arrive à placer un paquet vérolé sur security.debian.org, ta machine
pourrait être compromise automatiquement. Par contre, faire un "apt-get
-d dist-upgrade" pour télécharger les paquets, puis réaliser la partie
vérification/configuration manuellement est tout à fait envisageable.

Après quelques recherches, je suis arrivé à la même conclusion.
Mais en envoyant ce message, je voulait savoir si certains d'entres vous le faisait et avoir un avis. 


Mais en téléchargant uniquement les paquets liés à la sécurité de la ligne :
- deb http://security.debian.org/ ....
Pour cela, il faudrait créer un fichier sources.list secondaire qui ne contiendrait que la ligne précédente et indiquer au apt-get update de lire ce fichier, mais je ne sais pas faire. 

Tu peux faire cela avec un script qui déplace le fichier sources.list,
met à jour, puis replace le fichier d'origine. Mais cela n'est pas
généralement pas nécessaire de faire cela : tu peux avoir un seul
fichier sources.list contenant toutes les sources nécessaires (stable et
security.debian.org) et faire une mise à jour sur toutes celles-ci sans
inconvénient particulier.

C'est en effet une solution, mais j'en ai trouvée une autre :
Pour automatiser l'installation des mises à jour de sécurité sans mettre à jour tous le système, il faut commencer par créer un nouveau fichier (ex : /etc/apt/sources.list.security) contenant la ligne suivante pour une Debian testing : 
-> deb http://security.debian.org/ testing/updates main

La commande suivante permet de récupérer la liste des paquets :
-> apt-get -o Dir::Etc::SourceList=/etc/apt/sources.list.security update

La commande suivante permet d'installer les paquets :
-> apt-get -o Dir::Etc::SourceList=/etc/apt/sources.list.security dist-upgrade
Pour lancer l'installation automatiquement à 12H5 du lundi au vendredi et envoyer un message d'avertissement à root, il faut écrire la ligne suivante dans le crontab de root (crontab -e) :
5 12 * * 1-5 (/usr/bin/apt-get -o Dir::Etc::SourceList=/etc/apt/sources.list.security update && /usr/bin/apt-get -o Dir::Etc::SourceList=/etc/apt/sources.list.security dist-upgrade) | mail -s "Mise à jour Sécurité `hostname`" root
Je suis content d'avoir trouvé la solution, mais je suis aussi convaincu, qu'il ne faut pas la mettre en application, car le risque est trop important :-) 

Merci pour ta réponse.

Tony
Reply to: